Sécurité : Encadrer la maintenance et la destruction des données
Garantir la sécurité des données à tout moment du cycle de vie des matériels et des logiciels.
Les opérations de maintenance doivent être encadrées pour maitriser l’accès aux données par les prestataires. Les données doivent être préalablement effacées des matériels destinés à être mis au rebut.
Les précautions élémentaires
- Enregistrer les interventions de maintenance dans une main courante.
- Insérer une clause de sécurité dans les contrats de maintenance effectuée par des prestataires.
- Encadrer par un responsable de l’organisme les interventions par des tiers.
- Rédiger et mettre en œuvre une procédure de suppression sécurisée des données.
- Supprimer de façon sécurisée les données des matériels avant leur mise au rebut, leur envoi en réparation chez un tiers ou en fin du contrat de location.
Ce qu’il ne faut pas faire
- Installer des applications pour la télémaintenance ayant des vulnérabilités connues, par exemple qui ne chiffrent pas les communications.
- Réutiliser, revendre ou jeter des supports ayant contenu des données à caractère personnel sans que les données n’aient été supprimées de façon sécurisée.
Pour aller plus loin
- Utiliser des logiciels dédiés à la suppression de données sans destruction physique qui ont été audités ou certifiés. L’ANSSI accorde des certifications de premier niveau à des logiciels de ce type.
Exemple de clause pouvant être utilisées en cas de maintenance par un tiers :
Chaque opération de maintenance devra faire l'objet d'un descriptif précisant les dates, la nature des opérations et les noms des intervenants, transmis à X.
En cas de télémaintenance permettant l'accès à distance aux fichiers de X, Y prendra toutes dispositions afin de permettre à X d'identifier la provenance de chaque intervention extérieure. À cette fin, Y s'engage à obtenir l'accord préalable de X avant chaque opération de télémaintenance dont elle prendrait l'initiative.
Des registres seront établis sous les responsabilités respectives de X et Y, mentionnant les date et nature détaillée des interventions de télémaintenance ainsi que les noms de leurs auteurs.
NB : Cette clause de maintenance doit nécessairement être couplée à celle traitant de la confidentialité pour la sous-traitance.